Amazon FSx 文件网关不再向新客户开放。 FSx File Gateway 的现有客户可以继续正常使用该服务。有关与 FSx 文件网关类似的功能,请访问[此博客文章](https://aws.amazon.com/blogs/storage/switch-your-file-share-access-from-amazon-fsx-file-gateway-to-amazon-fsx-for-windows-file-server/)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 排查 Storage Gateway 部署问题
接下来,您可以找到与网关、主机平台、文件系统、高可用性、数据恢复和快照相关的最佳实践以及问题故障排除的信息。本地网关故障排除信息涵盖部署在支持的虚拟化平台上的网关。高可用性问题的故障排除信息涵盖在 VMware vSphere 高可用性 (HA) 平台上运行的网关。
**主题**
+ [故障排除:网关离线问题](troubleshooting-gateway-offline.md):了解如何诊断可能导致网关在 Storage Gateway 控制台中显示为离线的问题。
+ [故障排除:Active Directory 问题](troubleshooting-active-directory.md):了解在尝试将文件网关加入到 Microsoft Active Directory 域时,如果收到错误消息(例如 `NETWORK_ERROR`、`TIMEOUT` 或 `ACCESS_DENIED`)该怎么做。
+ [故障排除:网关激活问题](troubleshooting-gateway-activation.md):了解在尝试激活 Storage Gateway 时收到内部错误消息的情况下该怎么做。
+ [故障排除:本地网关问题](troubleshooting-on-premises-gateway-issues.md)-了解在使用本地网关时可能遇到的典型问题,以及如何允许 支持 连接到网关以帮助进行故障排除。
+ [故障排除:Microsoft Hyper-V 设置问题](troubleshooting-hyperv-setup.md):了解您在 Microsoft Hyper-V 平台上部署 Storage Gateway 时可能遇到的典型问题。
+ [故障排除:Amazon EC2 网关问题](troubleshooting-EC2-gateway-issues.md):查找有关在使用部署到 Amazon EC2 上的网关时可能遇到的典型问题的信息。
+ [故障排除:硬件设备问题](troubleshooting-hardware-appliance-issues.md)-了解如何解决在使用 AWS Storage Gateway 硬件设备时可能遇到的问题。
+ [故障排除:文件网关问题](troubleshooting-file-gateway-issues.md)-查找可帮助您了解 File Gateway CloudWatch 日志中出现的错误和运行状况通知的原因的信息。
+ [故障排除:高可用性问题](troubleshooting-ha-issues.md)-了解在 VMware HA 环境中部署的网关遇到问题时该怎么做。
# 故障排除:Storage Gateway 控制台中网关离线
使用以下故障排除信息,来确定当 AWS Storage Gateway 控制台显示网关处于离线状态时该怎么做。
网关可能由于以下一个或多个原因而显示为离线:
+ 网关无法到达 Storage Gateway 服务端点。
+ 网关意外关闭。
+ 与网关关联的缓存磁盘已断开连接或经过修改,或者出现故障。
要使网关恢复在线,请确定并解决导致网关离线的问题。
## 检查关联的防火墙或代理
如果您将网关配置为使用代理,或者将网关置于防火墙后面,请查看代理或防火墙的访问规则。代理或防火墙必须可让流量进出 Storage Gateway 所需的网络端口和服务端点。有关更多信息,请参阅 [Network and firewall requirements](https://docs.aws.amazon.com/filegateway/latest/filefsxw/Requirements.html#networks)。
## 检查是否正在对网关的流量进行 SSL 检查或深度数据包检查
如果当前正在对网关与之间的网络流量执行 SSL 或深度数据包检查 AWS,则您的网关可能无法与所需的服务端点通信。要使网关恢复在线,必须禁用检查。
## 在重新启动或软件更新后检查 IOWait百分比指标
在重启或软件更新后,检查以了解文件网关的 `IOWaitPercent` 指标是否为 10 或更高。这可能会导致网关在将索引缓存重建到 RAM 时响应缓慢。有关更多信息,请参阅[疑难解答:使用 CloudWatch 指标](https://docs.aws.amazon.com/filegateway/latest/filefsxw/troubleshooting-file-gateway-issues.html#gateway-not-responding)。
## 检查虚拟机监控程序主机上是否出现停电或硬件故障
网关的虚拟机监控程序主机出现停电或硬件故障,可能会导致网关意外关闭且无法访问。在恢复电源和网络连接后,网关将再次变为可访问。
网关恢复在线后,请务必采取措施来恢复数据。有关更多信息,请参阅 [Best practices: recovering your data](https://docs.aws.amazon.com/filegateway/latest/filefsxw/recover-data-from-gateway.html)。
## 检查关联的缓存磁盘是否有问题
如果与网关关联的缓存磁盘中至少有一个被移除、更改或调整大小,或者它已损坏,则网关可能会进入离线状态。
**如果从虚拟机监控程序主机上移除了正常工作的缓存磁盘:**
1. 关闭网关。
1. 重新添加该磁盘。
**注意**
确保将磁盘添加到同一个磁盘节点。
1. 重新启动网关。
**如果缓存磁盘损坏、被更换或调整大小:**
+ 按照[使用新实例替换现有 S3 文件网关](https://docs.aws.amazon.com/filegateway/latest/files3/migrate-data.html#replace-instance-file-gateway)中描述的**方法 2** 步骤来设置新网关并从 AWS 云重新下载缓存磁盘信息。
# 故障排除:将网关加入 Active Directory 时出现的问题
使用以下故障排除信息,确定在尝试将文件网关加入 Microsoft Active Directory 域时如果收到错误消息(例如 `NETWORK_ERROR`、`TIMEOUT` 或 `ACCESS_DENIED`)该怎么做。
要解决这些错误,请执行以下检查和配置。
## 通过运行 nping 测试来确认网关可以访问域控制器
**要运行 nping 测试,请执行以下操作:**
1. 使用虚拟机监控程序管理软件(VMware、Hyper-V 或 KVM)(用于本地网关)或使用 ssh(用于 Amazon EC2 网关),连接到网关本地控制台。
1. 输入相应的数字来选择**网关控制台**,然后输入 `h` 以列出所有可用命令。要测试 Storage Gateway 虚拟机与域之间的连接,请运行以下命令:
`nping -d corp.domain.com -p 389 -c 1 -t tcp`
**注意**
将 `corp.domain.com` 替换为 Active Directory 域 DNS 名称,并将 `389` 替换为您的环境的 LDAP 端口。
确认已在防火墙内打开所需的端口。
以下示例说明 nping 测试成功,网关能够访问域控制器:
```
nping -d corp.domain.com -p 389 -c 1 -t tcp
Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40 seq=2597195024 win=1480
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44 seq=4170716243 win=8192
Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds
```
以下 nping 测试示例表明没有与 `corp.domain.com` 目标建立连接,或者目标没有响应:
```
nping -d corp.domain.com -p 389 -c 1 -t tcp
Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389 S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480
Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds
```
## 检查 Amazon EC2 网关实例 VPC 的 DHCP 选项集
如果文件网关在 Amazon EC2 实例上运行,则必须确保已正确配置 DHCP 选项集,并连接到包含此网关实例的 Amazon Virtual Private Cloud(VPC)。有关更多信息,请参阅 [Amazon VPC 中的 DHCP 选项集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。
## 通过运行 dig 查询来确认网关可以解析域
如果网关无法解析域,则网关无法加入域。
**要运行 dig 查询,请执行以下操作:**
1. 使用虚拟机监控程序管理软件(VMware、Hyper-V 或 KVM)(用于本地网关)或使用 ssh(用于 Amazon EC2 网关),连接到网关本地控制台。
1. 输入相应的数字来选择**网关控制台**,然后输入 `h` 以列出所有可用命令。要测试网关能否解析域,请运行以下命令:
`dig -d corp.domain.com`
**注意**
将 `corp.domain.com` 替换为您的 Active Directory 域 DNS 名称。
以下是成功响应的示例:
```
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com. IN A
;; ANSWER SECTION:
corp.domain.com. 600 IN A 10.10.10.10
corp.domain.com. 600 IN A 10.10.20.10
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE rcvd: 78
```
## 检查域控制器设置和角色
确认域控制器未设置为只读,并且域控制器的角色具有必要的权限,可让计算机加入域。要对此进行测试,请尝试将网关 VM 所在的 VPC 子网中的其他服务器加入域。
## 检查网关是否已加入最近的域控制器
作为最佳实践,建议将网关加入在地理位置上靠近网关设备的域控制器。如果由于存在网络延迟,网关设备无法在 20 秒内与域控制器通信,则域加入过程会超时。例如,如果网关设备位于美国东部(弗吉尼亚北部), AWS 区域 而域控制器位于亚太地区(新加坡),则该过程可能会超时 AWS 区域。
**注意**
要增加 20 秒的默认超时值,您可以在 AWS Command Line Interface (AWS CLI) 中运行 [join-domain 命令](https://docs.aws.amazon.com/cli/latest/reference/storagegateway/join-domain.html)并添加延长时间的`--timeout-in-seconds`选项。您也可以使用 [JoinDomain API 调用](https://amazonaws.com/storagegateway/latest/APIReference/API_JoinDomain.html)并添加`TimeoutInSeconds`参数来延长时间。最大超时值为 3600 秒。
如果您在运行 AWS CLI 命令时收到错误,请确保您使用的是最新 AWS CLI 版本。
## 确认 Active Directory 在默认组织单元(OU)中创建了新的计算机对象
确保 Microsoft Active Directory 没有任何组策略对象会在默认 OU 以外的任何位置创建新的计算机对象。将网关加入 Active Directory 域之前,默认 OU 中必须有新的计算机对象。某些 Active Directory 环境经过自定义 OUs,新创建的对象会有所不同。为确保默认 OU 中有网关 VM 的新计算机对象,请在将网关加入域之前,尝试在域控制器上手动创建计算机对象。您也可以使用 AWS CLI运行 [join-domain 命令](https://docs.aws.amazon.com/cli/latest/reference/storagegateway/join-domain.html)。然后,指定 `--organizational-unit` 选项。
**注意**
创建计算机对象的过程称为预配置。
## 查看域控制器事件日志
如果在尝试了前几节中描述的所有其他检查和配置后仍无法将网关加入域,建议检查域控制器事件日志。在域控制器的事件查看器中检查是否有任何错误。确认网关查询已到达域控制器。
# 故障排除:网关激活期间的内部错误
Storage Gateway 激活请求会经过两条网络路径。客户端发送的传入激活请求通过端口 80 连接到网关的虚拟机(VM)或 Amazon Elastic Compute Cloud(Amazon EC2)实例。如果网关成功收到激活请求,则网关将与 Storage Gateway 端点通信来接收激活密钥。如果网关无法到达 Storage Gateway 端点,则网关会以一则内部错误消息响应客户端。
使用以下故障排除信息,来确定在尝试激活 AWS Storage Gateway的过程中收到内部错误消息时该怎么做。
**注意**
确保使用最新的虚拟机映像文件或亚马逊机器映像(AMI)版本部署新的网关。如果您尝试激活使用过时 AMI 的网关,则会收到内部错误消息。
在下载 AMI 之前,请务必选择要部署的正确网关类型。每种网关类型的.ova 文件都不同,并且不可互换。 AMIs
## 解决使用公有端点激活网关时出现的错误
要解决使用公有端点激活网关时的激活错误,请执行以下检查和配置。
### 检查所需的端口
对于本地部署的网关,请检查本地防火墙上的端口是否为打开状态。对于部署在 Amazon EC2 实例上的网关,请检查实例安全组上的端口是否为打开状态。要确认端口为打开状态,请从服务器上对公有端点运行 telnet 命令。此服务器必须与网关位于同一子网中。例如,以下 telnet 命令测试与端口 443 的连接:
```
telnet d4kdq0yaxexbo.cloudfront.net 443
telnet storagegateway.region.amazonaws.com 443
telnet dp-1.storagegateway.region.amazonaws.com 443
telnet proxy-app.storagegateway.region.amazonaws.com 443
telnet client-cp.storagegateway.region.amazonaws.com 443
telnet anon-cp.storagegateway.region.amazonaws.com 443
```
要确认网关本身是否可以到达端点,请访问网关的本地 VM 控制台(适用于本地部署的网关)。或者,可以通过 SSH 连接到网关的实例(适用于部署在 Amazon EC2 上的网关)。然后,运行网络连接测试。确认测试返回 `[PASSED]`。有关更多信息,请参阅 [Testing your gateway's network connectivity](https://docs.aws.amazon.com/filegateway/latest/filefsxw/manage-on-premises-fgw.html#MaintenanceTestGatewayConnectivity-fgw)。
**注意**
网关控制台的默认登录用户名为 `admin`,默认密码为 `password`。
### 确保防火墙安全性不会修改从网关发送到公有端点的数据包
SSL 检查、深度数据包检查或其它形式的防火墙安全性可能会干扰从网关发送的数据包。如果 SSL 证书的修改结果与激活端点所预期的情况不同,则 SSL 握手失败。要确认没有正在进行的 SSL 检查,请在端口 443 上的主激活端点 (`anon-cp.storagegateway.region.amazonaws.com`) 上运行 OpenSSL 命令。必须从与网关位于同一子网中的计算机上运行此命令:
```
$ openssl s_client -connect anon-cp.storagegateway.region.amazonaws.com:443 -servername anon-cp.storagegateway.region.amazonaws.com
```
**注意**
*region*用你的 AWS 区域.
如果没有正在进行的 SSL 检查,则该命令将返回类似于以下内容的响应:
```
$ openssl s_client -connect anon-cp.storagegateway.us-east-2.amazonaws.com:443 -servername anon-cp.storagegateway.us-east-2.amazonaws.com
CONNECTED(00000003)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-2.amazonaws.com
verify return:1
---
Certificate chain
0 s:/CN=anon-cp.storagegateway.us-east-2.amazonaws.com
i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
i:/C=US/O=Amazon/CN=Amazon Root CA 1
2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority
---
```
如果正在进行 SSL 检查,则响应将显示更改的证书链,类似于以下内容:
```
$ openssl s_client -connect anon-cp.storagegateway.ap-southeast-1.amazonaws.com:443 -servername anon-cp.storagegateway.ap-southeast-1.amazonaws.com
CONNECTED(00000003)
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.ap-southeast-1.amazonaws.com
i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---
```
激活端点仅在识别 SSL 证书时才接受 SSL 握手。这意味着,网关到端点的出站流量必须免受网络中防火墙执行的检查。这些检查可能是 SSL 检查或深度数据包检查。
### 检查网关时间同步
时间偏差过大可能会导致 SSL 握手错误。对于本地网关,可以使用网关的本地 VM 控制台来检查网关的时间同步。时间偏差应不大于 60 秒。有关更多信息,请参阅 [Synchronizing Your Gateway VM Time](https://docs.aws.amazon.com/filegateway/latest/filefsxw/MaintenanceTimeSync-hyperv.html)。
**系统时间管理**选项在托管于 Amazon EC2 实例上的网关中不可用。为确保 Amazon EC2 网关能够正确地同步时间,请确认 Amazon EC2 实例可以通过端口 UDP 和 TCP 123 连接到以下 NTP 服务器池列表:
+ time.aws.com
+ 0.amazon.pool.ntp.org
+ 1.amazon.pool.ntp.org
+ 2.amazon.pool.ntp.org
+ 3.amazon.pool.ntp.org
## 解决使用 Amazon VPC 端点激活网关时出现的错误
要解决使用 Amazon Virtual Private Cloud(Amazon VPC)端点激活网关时出现的激活错误,请执行以下检查和配置。
### 检查所需的端口
确保本地防火墙(对于本地部署的网关)或安全组(对于部署在 Amazon EC2 中的网关)中的所需端口处于打开状态。将网关连接到 Storage Gateway VPC 端点所需的端口与将网关连接到公有端点时所需的端口不同。连接到 Storage Gateway VPC 端点需要以下端口:
+ TCP 443
+ TCP 1026
+ TCP 1027
+ TCP 1028
+ TCP 1031
+ TCP 2222
有关更多信息,请参阅 [Creating a VPC endpoint for Storage Gateway](https://docs.aws.amazon.com/filegateway/latest/filefsxw/gateway-private-link.html#create-vpc-endpoint)。
此外,请检查连接到 Storage Gateway VPC 端点的安全组。连接到端点的默认安全组可能不支持所需的端口。创建一个新的安全组,让来自网关 IP 地址范围的流量通过所需端口。然后,将该安全组连接到 VPC 端点。
**注意**
使用 [Amazon VPC 控制台](https://console.aws.amazon.com//vpc/)来验证连接到 VPC 端点的安全组。从控制台查看 Storage Gateway VPC 端点,然后选择**安全组**选项卡。
要确认所需端口处于打开状态,可以在 Storage Gateway VPC 端点上运行 telnet 命令。必须从与网关位于同一子网中的服务器上运行这些命令。可以对第一个未指定可用区的 DNS 名称运行测试。例如,以下 telnet 命令使用 DNS 名称 vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 测试所需的端口连接:
```
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 443
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1026
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1027
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1028
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1031
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 2222
```
### 确保防火墙安全性不会修改从网关发送到 Storage Gateway Amazon VPC 端点的数据包
SSL 检查、深度数据包检查或其它形式的防火墙安全性可能会干扰从网关发送的数据包。如果 SSL 证书的修改结果与激活端点所预期的情况不同,则 SSL 握手失败。要确认没有正在进行的 SSL 检查,请在 Storage Gateway VPC 端点上运行 OpenSSL 命令。必须从与网关位于同一子网中的计算机上运行此命令。针对每个必需的端口运行命令:
```
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:443 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1026 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1028 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1031 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:2222 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
```
如果没有正在进行的 SSL 检查,则该命令将返回类似于以下内容的响应:
```
openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify return:1
---
Certificate chain
0 s:CN = anon-cp.storagegateway.us-east-1.amazonaws.com
i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
1 s:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
i:C = US, O = Amazon, CN = Amazon Root CA 1
2 s:C = US, O = Amazon, CN = Amazon Root CA 1
i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
3 s:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
i:C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority
---
```
如果正在进行 SSL 检查,则响应将显示更改的证书链,类似于以下内容:
```
openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.us-east-1.amazonaws.com
i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---
```
激活端点仅在识别 SSL 证书时才接受 SSL 握手。这意味着,网关通过所需端口到 VPC 端点的出站流量免受由网络防火墙执行的检查。这些检查可能是 SSL 检查或深度数据包检查。
### 检查网关时间同步
时间偏差过大可能会导致 SSL 握手错误。对于本地网关,可以使用网关的本地 VM 控制台来检查网关的时间同步。时间偏差应不大于 60 秒。有关更多信息,请参阅 [Synchronizing Your Gateway VM Time](https://docs.aws.amazon.com/filegateway/latest/filefsxw/MaintenanceTimeSync-hyperv.html)。
**系统时间管理**选项在托管于 Amazon EC2 实例上的网关中不可用。为确保 Amazon EC2 网关能够正确地同步时间,请确认 Amazon EC2 实例可以通过端口 UDP 和 TCP 123 连接到以下 NTP 服务器池列表:
+ 0.amazon.pool.ntp.org
+ 1.amazon.pool.ntp.org
+ 2.amazon.pool.ntp.org
+ 3.amazon.pool.ntp.org
### 检查 HTTP 代理并确认关联的安全组设置
在激活之前,请检查您是否在本地网关 VM 上将 Amazon EC2 上的 HTTP 代理配置为端口 3128 上的 Squid 代理。在此情况下,确认以下事项:
+ 连接到 Amazon EC2 上 HTTP 代理的安全组必须具有入站规则。此入站规则必须在端口 3128 上支持来自网关 VM 的 IP 地址的 Squid 代理流量。
+ 连接到 Amazon EC2 VPC 端点的安全组必须具有入站规则。这些入站规则必须在端口 1026-1028、1031、2222 和 443 上支持来自 Amazon EC2 上 HTTP 代理的 IP 地址的流量。
## 解决使用公有端点激活网关且同一 VPC 中有 Storage Gateway VPC 端点时出现的错误
要解决在同一 VPC 中有 Amazon Virtual Private Cloud(Amazon VPC)端点的情况下使用公有端点激活网关时出现的错误,请执行以下检查和配置。
### 确认 Storage Gateway VPC 端点上**启用私有 DNS 名称**设置未处于启用状态
如果**启用私有 DNS 名称**处于启用状态,则无法激活从该 VPC 到公有端点的任何网关。
**要禁用 DNS 名称选项,请执行以下操作:**
1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com//vpc/)。
1. 在导航窗格中,选择**端点**。
1. 选择 Storage Gateway VPC 端点。
1. 选择**操作**。
1. 选择**管理私有 DNS 名称**。
1. 对于**启用私有 DNS 名称**,清除**为此端点启用**。
1. 选择**修改私有 DNS 名称**来保存设置。
# 故障排除:本地网关问题
您可以在下面找到有关在使用本地网关时可能遇到的典型问题以及如何允许 支持 连接到网关以帮助进行故障排除的信息。
下表列出了您在使用场内网关时可能遇到的典型问题。
| 问题 | 要采取的操作 |
| --- | --- |
| 您找不到网关的 IP 地址。 | 请使用管理程序客户端连接主机,以便查找网关 IP 地址。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/filefsxw/troubleshooting-on-premises-gateway-issues.html) 如果您仍然难以找到网关 IP 地址: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/filefsxw/troubleshooting-on-premises-gateway-issues.html) |
| 您遇到了网络或防火墙问题。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/filefsxw/troubleshooting-on-premises-gateway-issues.html) |
| 当您单击 Storage Gateway 管理控制台中的**继续激活**按钮时,网关的激活过程会失败。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/filefsxw/troubleshooting-on-premises-gateway-issues.html) |
| 您需要提高网关和 AWS之间的带宽。 | 您可以将互联网连接设置为 AWS 与连接应用程序和网关 VM 的网卡 (NIC) 分开的网络适配器 (NIC),从而 AWS 改善从网关到的带宽。如果您有高带宽连接, AWS 并且想要避免带宽争用,尤其是在快照还原期间,则采用这种方法很有用。对于高吞吐量工作负载需求,您可以使用 [Direct Connect](https://aws.amazon.com/directconnect/) 在本地网关和 AWS间建立专用网络连接。要测量从您的网关到的连接带宽 AWS,请使用网关的`CloudBytesDownloaded`和`CloudBytesUploaded`指标。有关本主题的更多信息,请参阅 [性能和优化](Performance.md)。提高 Internet 连接性能有助于确保您的上传缓冲区不被填满。 |
| 往返您网关的吞吐量将为零。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/filefsxw/troubleshooting-on-premises-gateway-issues.html) 您可以从 Amazon CloudWatch 控制台查看进出网关的吞吐量。有关测量进出网关的吞吐量的更多信息 AWS,请参阅[性能和优化](Performance.md)。 |
| 在 Microsoft Hyper-V 中导入(部署)Storage Gateway 时遇到问题。 | 请参阅 [故障排除:Microsoft Hyper-V 设置](troubleshooting-hyperv-setup.md),其中对您在 Microsoft Hyper-V 上部署网关时遇到的部分常见问题进行了说明。 |
| 您收到一条消息,指出“已写入网关卷中的数据未安全存储在 AWS中”。 | 如果您的网关虚拟机是从另一个网关虚拟机的克隆或快照创建的,则您会收到此消息。如果不是这种情况,请联系 支持。 |
## 开启 支持 访问权限以帮助对本地托管的网关进行故障排除
Storage Gateway 提供了一个本地控制台,您可以使用它 支持 来执行多项维护任务,包括允许访问网关以帮助您解决网关问题。默认情况下,对您的网关的 支持 访问处于关闭状态。您可通过主机的本地控制台启用此访问权限。要 支持 访问您的网关,请先登录主机的本地控制台,导航到 Storage Gateway 的控制台,然后连接到支持服务器。
**开启对网关的 支持 访问权限**
1. 登录到主机的本地控制台。
+ VMware ESXi — 有关更多信息,请参阅[使用访问网关本地控制台 VMware ESXi](accessing-local-console.md#MaintenanceConsoleWindowVMware-common)。
+ Microsoft Hyper-V - 有关更多信息,请参阅[使用 Microsoft Hyper-V 访问网关本地控制台](accessing-local-console.md#MaintenanceConsoleWindowHyperV-common)。
1. 在提示符处输入相应的数字来选择**网关控制台**。
1. 输入 **h** 打开可用命令的列表。
1.
请执行以下操作之一:
+ 如果网关使用的是公有端点,请在**可用命令**窗口中,输入 **open-support-channel** 来连接到 Storage Gateway 的客户支持。允许 TCP 端口 22,以便您可以打开 AWS的支持通道。在连接到客户支持时,Storage Gateway 将为您分配支持编号。请记下您的支持编号。
+ 如果网关使用的是 VPC 端点,请在 **AVAILABLE COMMANDS** 窗口中,输入 **open-support-channel**。如果未激活网关,请提供要连接到 Storage Gateway 客户支持的 VPC 端点或 IP 地址。允许 TCP 端口 22,以便您可以打开 AWS的支持通道。在连接到客户支持时,Storage Gateway 将为您分配支持编号。请记下您的支持编号。
**注意**
信道号不是(传输控制Protocol/User Datagram Protocol (TCP/UDP)端口号。相反,网关会与 Storage Gateway 服务器建立 Secure Shell (SSH) (TCP 22) 连接,并提供用于连接的支持通道。
1. 建立支持渠道后,请向提供您的支持服务号码, 支持 支持 以便提供故障排除帮助。
1. 在支持会话完成后,输入 **q** 以将其结束。在 Amazon Web Services Support 通知您支持会话完成之前,请勿关闭该会话。
1. 输入 **exit** 来注销 Storage Gateway 控制台。
1. 按照提示操作退出本地控制台。
# 故障排除:Microsoft Hyper-V 设置
下表列出了您在 Microsoft Hyper-V 平台上部署 Storage Gateway 时可能遇到的典型问题。
| 问题 | 要采取的操作 |
| --- | --- |
| 您尝试导入网关并收到以下错误消息: “尝试导入虚拟机时发生服务器错误。导入失败。在位置 […] 下找不到虚拟机导入文件。仅当使用 Hyper-V 创建和导出虚拟机时,才能导入虚拟机。” | 出现此错误的原因如下: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/filefsxw/troubleshooting-hyperv-setup.html) |
| 您尝试导入网关并收到以下错误消息: “尝试导入虚拟机时发生服务器错误。导入失败。导入任务无法从 [...] 复制文件:文件存在。(0x80070050)” | 如果您已经部署网关且试图重新使用存储了虚拟硬盘文件和虚拟机配置文件的默认文件夹,那么会出现此错误。要修复此问题,请在 **Hyper-V 设置**对话框左侧面板的**服务器**下方指定新位置。 |
| 您尝试导入网关并收到以下错误消息: “尝试导入虚拟机时发生服务器错误。导入失败。Import failed because the virtual machine must have a new identifier。Select a new identifier and try the import again.” | 导入网关时,请确保在**导入虚拟机**对话框中选择**复制虚拟机**选项并选中**复制所有文件**框,来为 VM 创建新的唯一 ID。 |
| 您尝试启动网关 VM 并收到以下错误消息: “尝试启动选定的虚拟机时出错。子分区处理器设置与父分区不兼容。‘AWS-Storage-Gateway’无法初始化。(虚拟机 ID [...])” | 此错误可能是由于网关所需的 CPU 与主机 CPUs 上可用 CPUs 的 CPU 差异造成的。确保 VM 的 CPU 个数获得了底层管理程序的支持。 有关 Storage Gateway 要求的更多信息,请参阅[文件网关设置要求](Requirements.md)。 |
| 您尝试启动网关 VM 并收到以下错误消息: “尝试启动选定的虚拟机时出错。‘AWS-Storage-Gateway’无法初始化。(虚拟机 ID [...])无法创建分区:系统资源不足,无法完成所请求的服务。(0x800705AA)” | 此错误很可能是该网关所需的 RAM 和主机上可用的 RAM 之间的差异导致的。 有关 Storage Gateway 要求的更多信息,请参阅[文件网关设置要求](Requirements.md)。 |
| 您的快照和网关软件更新的出现时间会与预计的稍有不同。 | 网关 VM 的时钟可能会偏离实际的时间,这称为时钟漂移。使用本地网关控制台的时间同步选项,校验和纠正 VM 的时间。有关更多信息,请参阅 [配置网关的网络时间协议(NTP)服务器](MaintenanceTimeSync-fgw.md)。 |
| 您需要将解压缩的 Microsoft Hyper-V Storage Gateway 文件放入主机文件系统中。 | 按照访问典型 Microsoft Windows 服务器的方式访问主机。例如,如果虚拟机监控程序主机名为 `hyperv-server`,则可使用以下 UNC 路径 `\\hyperv-server\c$`,其中假定可解析名称 `hyperv-server`,或在本地 hosts 文件中定义了该名称。 |
| 在连接管理程序时,系统会提示您输入证书。 | 以本地管理员的身份使用 Sconfig.cmd 工具给管理程序主机添加用户证书。 |
| 如果对使用 Broadcom 网络适配器的 Hyper-V 主机开启虚拟机队列(VMQ),则可能会注意到网络性能不佳。 | 有关解决方法的信息,请参阅 Microsoft 文档:[Poor network performance on virtual machines on a Windows Server 2012 Hyper-V host if VMQ is turned on](https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/poor-network-performance-hyper-v-host-vm)。 |
# 故障排除:Amazon EC2 网关问题
在以下部分中,您可以找到在使用部署到 Amazon EC2 的网关时可能遇到的典型问题。若要详细了解本地网关和 Amazon EC2 中部署的网关之间的区别,请参阅 [为 FSx 文件网关部署默认 Amazon EC2 主机为 FSx 文件网关部署自定义的 Amazon EC2 主机](ec2-gateway-file.md)。
**Topics**
+ [过了一会儿您的网关并未激活](#activation-issues)
+ [您在实例列表中找不到 EC2 网关实例](#find-instance)
+ [您需要使用 Amazon EC2 Serial Console 连接到您的网关实例](#ec2-serial-console)
+ [你 支持 想帮忙排查你的 Amazon EC2 网关的问题](#EC2-EnableAWSSupportAccess)
## 过了一会儿您的网关并未激活
在 Amazon EC2 控制台中检查以下项:
+ 已在与实例关联的安全组中启用端口 80。有关添加安全组规则的更多信息,请参阅《Amazon EC2 用户指南》**中的[添加安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html#adding-security-group-rule)。
+ 网关实例会标记为“running”。在 Amazon EC2 控制台中,实例的**状态**应该是“正在运行”。
+ 确保您的 Amazon EC2 实例类型满足最低要求,如[存储需求](Requirements.md#requirements-storage)中所述。
纠正该问题后,请尝试重新激活网关。为此,请打开 Storage Gateway 控制台,选择**在 Amazon EC2 上部署新网关**,然后重新输入实例的 IP 地址。
## 您在实例列表中找不到 EC2 网关实例
如果您没有为您的实例赋予资源标签,并且有很多实例在运行,则很难分辨哪个实例是您启动的。在这种情况下,可执行以下操作来查找网关实例:
+ 检查实例**说明**选项卡上的 Amazon 系统映像 (AMI) 名称。基于 Storage Gateway AMI 的实例应以 **aws-storage-gateway-ami** 文本开头。
+ 如果您有几个实例基于 Storage Gateway AMI,请查看实例启动时间来找到正确的实例。
## 您需要使用 Amazon EC2 Serial Console 连接到您的网关实例
您可以使用 Amazon EC2 Serial Console 来排查引导、网络配置和其他问题。有关说明和故障排除提示,请参阅《Amazon Elastic Compute Cloud 用户指南》**中的 [Amazon EC2 Serial Console](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html)。
## 你 支持 想帮忙排查你的 Amazon EC2 网关的问题
Storage Gateway 提供了一个本地控制台,您可以使用它 支持 来执行多项维护任务,包括允许访问网关以帮助您解决网关问题。默认情况下,对您的网关的 支持 访问处于关闭状态。通过 Amazon EC2 本地控制台启用此访问。通过 Secure Shell (SSH) 登录到 Amazon EC2 本地控制台。要通过 SSH 成功登录,您的实例的安全组必须具有开放 TCP 端口 22 的规则。
**注意**
如果将新规则添加到现有安全组,则新规则适用于使用该安全组的所有实例。有关安全组以及如何添加安全组规则的更多信息,请参阅**《Amazon EC2 用户指南》中的 [Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。
要 支持 连接您的网关,您需要先登录 Amazon EC2 实例的本地控制台,导航到存储网关的控制台,然后提供访问权限。
**为部署在 Amazon EC2 实例上的网关开启 支持 访问权限**
1. 登录到 Amazon EC2 实例的本地控制台。有关说明,请转到**《Amazon EC2 用户指南》中的[连接到您的实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)。
您可使用以下命令登录到 EC2 实例的本地控制台。
```
ssh –i PRIVATE-KEY admin@INSTANCE-PUBLIC-DNS-NAME
```
**注意**
*PRIVATE-KEY*是包含您用于启动 Amazon EC2 实例的 EC2 密钥对的私有证书的`.pem`文件。有关更多信息,请参阅**《Amazon EC2 用户指南》中的[检索密钥对的公有密钥](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#retriving-the-public-key)。
*INSTANCE-PUBLIC-DNS-NAME*是运行网关的 Amazon EC2 实例的公有域名系统 (DNS) 名称。可通过在 EC2 控制台中选择 Amazon EC2 实例并单击**说明**选项卡来获取此公有 DNS 名称。
1. 在提示符处,输入 **6 - Command Prompt** 来打开 支持 通道控制台。
1. 输入 **h** 以打开 **AVAILABLE COMMANDS** 窗口。
1. 请执行以下操作之一:
+ 如果网关使用的是公有端点,请在**可用命令**窗口中,输入 **open-support-channel** 来连接到 Storage Gateway 的客户支持。允许 TCP 端口 22,以便您可以打开 AWS的支持通道。在连接到客户支持时,Storage Gateway 将为您分配支持编号。请记下您的支持编号。
+ 如果网关使用的是 VPC 端点,请在 **AVAILABLE COMMANDS** 窗口中,输入 **open-support-channel**。如果未激活网关,请提供要连接到 Storage Gateway 客户支持的 VPC 端点或 IP 地址。允许 TCP 端口 22,以便您可以打开 AWS的支持通道。在连接到客户支持时,Storage Gateway 将为您分配支持编号。请记下您的支持编号。
**注意**
信道号不是(传输控制Protocol/User Datagram Protocol (TCP/UDP)端口号。相反,网关会与 Storage Gateway 服务器建立 Secure Shell (SSH) (TCP 22) 连接,并提供用于连接的支持通道。
1. 建立支持渠道后,请向提供您的支持服务号码, 支持 支持 以便提供故障排除帮助。
1. 在支持会话完成后,输入 **q** 以将其结束。在 Amazon Web Services Support 通知您支持会话完成之前,请勿关闭该会话。
1. 输入 **exit** 来退出 Storage Gateway 控制台。
1. 通过控制台菜单操作来注销 Storage Gateway 实例。
# 故障排除:硬件设备问题
**注意**
终止上市通知:自 2025 年 5 月 12 日起,将不再提供 AWS Storage Gateway 硬件设备。使用 AWS Storage Gateway 硬件设备的现有客户可以继续使用并获得支持,直到 2028 年 5 月。作为替代方案,您可以使用该 AWS Storage Gateway 服务为本地和云端应用程序提供对几乎无限的云存储的访问权限。
以下主题讨论了您在使用 AWS Storage Gateway 硬件设备时可能遇到的问题,以及解决这些问题的建议。
**Topics**
+ [您无法确定服务 IP 地址](#service_ip_address)
+ [如何执行出厂重置?](#factory_reset)
+ [如何执行远程重启?](#remote-restart)
+ [您在何处获得 Dell iDRAC 支持?](#iDRAC_support)
+ [您找不到硬件设备序列号](#appliance_serial_number)
+ [在何处获得硬件设备支持](#appliance_support)
## 您无法确定服务 IP 地址
当尝试连接到您的服务时,请确保您使用的是该服务的 IP 地址,而不是主机的 IP 地址。在服务控制台中配置服务 IP 地址,并在硬件控制台中配置主机 IP 地址。您将在启动硬件设备时看到硬件控制台。要从硬件控制台转到服务控制台,请选择 **Open Service Console (打开服务控制台)**。
## 如何执行出厂重置?
如果您需要对设备执行出厂重置,请按以下支持部分所述联系 AWS Storage Gateway硬件设备团队寻求支持。
## 如何执行远程重启?
如果您需要远程重启设备,可以使用 Dell iDRAC 管理界面执行此操作。有关更多信息,请参阅 Dell Technologies InfoHub 网站上的 [i DRAC9 虚拟电源循环:远程重启 Dell EMC PowerEdge 服务器](https://infohub.delltechnologies.com/en-us/p/idrac9-virtual-power-cycle-remotely-power-cycle-dell-emc-poweredge-servers/)。
## 您在何处获得 Dell iDRAC 支持?
戴尔 PowerEdge 服务器配有戴尔iDRAC管理接口。我们建议执行下列操作:
+ 如果您使用 iDRAC 管理界面,则应更改默认密码。有关iDRAC凭证的更多信息,[请参阅 PowerEdge 戴尔——iDRAC的默认登录凭据是什么?](https://www.dell.com/support/article/en-us/sln306783/dell-poweredge-what-is-the-default-username-and-password-for-idrac?lang=en) 。
+ 确保固件是 up-to-date为了防止安全漏洞。
+ 将 iDRAC 网络接口移动到正常的 (`em`) 端口可能会导致性能问题或阻止设备正常运行。
## 您找不到硬件设备序列号
你可以使用 Storage Gateway 控制台找到 AWS Storage Gateway 硬件设备的序列号。
**查找硬件设备序列号:**
1. 在[https://console.aws.amazon.com/storagegateway/家](https://console.aws.amazon.com/storagegateway/)中打开 Storage Gateway 控制台。
1. 从页面左侧的导航菜单中选择**硬件**。
1. 从列表中选择硬件设备。
1. 在设备的**详细信息**选项卡上找到**序列号**字段。
## 在何处获得硬件设备支持
AWS 要联系您的硬件设备的技术支持,请参阅[支持](https://aws.amazon.com/contact-us)。
该 支持 团队可能会要求您激活支持渠道,以远程解决您的网关问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时需要打开。您可以从硬件控制台激活支持通道,如下面的过程所示。
**要打开支持频道 AWS**
1. 打开硬件控制台。
1. 选择硬件控制台主页底部的**打开支持渠道**,然后按 `Enter`。
如果没有网络连接或防火墙问题,分配的端口号应该在 30 秒内出现。例如:
**状态:在端口 19599 上打开**
1. 记下端口号并将其提供给 支持。
# 故障排除:文件网关问题
您可以将文件网关配置为将日志条目写入 Amazon CloudWatch 日志组。配置好之后,您会收到有关网关的运行状况以及有关网关遇到的任何错误的通知。您可以在 CloudWatch 日志中找到有关这些错误和运行状况通知的信息。
在以下部分中,您可以找到相关信息来帮助您理解每个错误的原因、运行状况通知以及如何解决问题。
**Topics**
+ [错误: FileMissing](#troubleshoot-logging-errors-filemissing)
+ [错误: FsxFileSystemAuthenticationFailure](#troubleshoot-logging-errors-fsxfilesystemauthenticationfailure)
+ [错误: FsxFileSystemConnectionFailure](#troubleshoot-logging-errors-fsxfilesystemconnectionfailure)
+ [错误: FsxFileSystemFull](#troubleshoot-logging-errors-fsxfilesystemfull)
+ [错误: GatewayClockOutOfSync](#troubleshoot-logging-errors-gatewayclockoutofsync)
+ [错误: InvalidFileState](#troubleshoot-logging-errors-invalidfilestate)
+ [错误: ObjectMissing](#troubleshoot-logging-errors-objectmissing)
+ [错误: DroppedNotifications](#troubleshoot-logging-errors-droppednotifications)
+ [通知: HardReboot](#troubleshoot-hardreboot-notification)
+ [通知:重启](#troubleshoot-reboot-notification)
+ [故障排除:Active Directory 域问题](#troubleshooting-ad-domain)
+ [疑难解答:使用 CloudWatch 指标](#troubleshooting-with-cw-metrics)
## 错误: FileMissing
`FileMissing` 错误与 `ObjectMissing` 错误类似,解决错误的步骤也相同。当指定文件网关以外的写入器从 Amazon 中删除指定文件时,可能会`FileMissing`出现错误 FSx。任何后续上传到亚马逊 FSx 或从亚马逊检索该对象都将失 FSx 败。
**要解决 FileMissing 错误**
1. 将文件的最新副本保存到 SMB 客户端的本地文件系统中(需要在步骤 3 中复制此文件)。
1. 使用 SMB 客户端从文件网关删除文件。
1. FSx 使用您的 SMB 客户端复制您在步骤 1 Amazon 中保存的文件的最新版本。通过文件网关执行此操作。
## 错误: FsxFileSystemAuthenticationFailure
当挂载文件系统时提供的凭证过期或其权限已撤销时,会出现 `FsxFileSystemAuthenticationFailure` 错误。
**要解决 FsxFileSystemAuthenticationFailure 错误**
1. 确保在连接 Amazon FSx 文件系统时提供的凭证仍然有效。
1. 确保用户拥有[附加 Amazon FSx for Windows 文件服务器文件系统](https://docs.aws.amazon.com/filegateway/latest/filefsxw/attach-fsxw-filesystem.html)中所述的所有必要权限。
## 错误: FsxFileSystemConnectionFailure
当无法从网关计算机访问 Amazon FSx 服务器时,您可能会`FsxFileSystemConnectionFailure`遇到错误。
**要解决 FsxFileSystemConnectionFailure 错误**
1. 确保所有防火墙和 VPC 规则都允许在网关计算机和 Amazon FSx 服务器之间建立连接。
1. 确保 Amazon FSx 服务器正在运行。
## 错误: FsxFileSystemFull
当 Amazon FSx 文件系统中没有足够的可用磁盘空间时,可能会`FsxFileSystemFull`出现错误。
**要解决 FsxFileSystemFull 错误**
+ 增加 Amazon FSx 文件系统的存储空间。
## 错误: GatewayClockOutOfSync
当网关检测到本地系统时间与 AWS Storage Gateway 服务器报告的时间之间有 5 分钟或更长时间的差异时,您可能会收到`GatewayClockOutOfSync`错误消息。时钟同步问题可能会对网关和之间的连接产生负面影响 AWS。如果网关时钟不同步,NFS 和 SMB 连接可能会出现 I/O 错误,并且 SMB 用户可能会遇到身份验证错误。
**要解决 GatewayClockOutOfSync 错误**
+ 检查网关和 NTP 服务器之间的网络配置。有关同步网关 VM 时间和更新 NTP 服务器配置的更多信息,请参阅[为网关配置网络时间协议(NTP)服务器](https://docs.aws.amazon.com/filegateway/latest/filefsxw/manage-on-premises-fgw.html#MaintenanceTimeSync-fgw)。
## 错误: InvalidFileState
当指定网关以外的写入器修改指定的文件共享中的指定文件时,会出现 `InvalidFileState` 错误。因此,网关上文件的状态与其在 Amazon 中的状态不匹配 FSx。随后从 Ama FSx zon 上传或检索文件都可能失败。
**要解决 InvalidFileState 错误**
1. 将文件的最新副本保存到 SMB 客户端的本地文件系统中(需要在步骤 4 中复制此文件)。如果 Amazon 中的文件版本 FSx 是最新版本,请下载该版本。为此,您可以使用任何 SMB 客户端直接访问 Amazon FSx 共享。
1. FSx 直接在 Amazon 中删除该文件。
1. 使用 SMB 客户端从网关删除文件。
1. 使用您的 SMB 客户端,*通过文件网关将您在步骤 1 中保存的文件*的最新版本复制到 Amazon FSx。
## 错误: ObjectMissing
当指定文件网关以外的写入器从 Amazon 中删除指定文件时,可能会`ObjectMissing`出现错误 FSx。任何后续上传到亚马逊 FSx或从亚马逊检索该对象都将失 FSx 败。
**要解决 ObjectMissing 错误**
1. 将文件的最新副本保存到 SMB 客户端的本地文件系统中(需要在步骤 3 中复制此文件)。
1. 使用 SMB 客户端从文件网关删除文件。
1. FSx 使用您的 SMB 客户端复制您在步骤 1 Amazon 中保存的文件的最新版本。通过文件网关执行此操作。
## 错误: DroppedNotifications
如果网关根磁盘上的可用存储空间小于 1 GB,或者在 1 分钟间隔内生成的运行状况通知超过 100 个,则可能会看到`DroppedNotifications`错误而不是其他预期类型的 CloudWatch 日志条目。在这种情况下,作为预防措施,网关会停止生成详细的 CloudWatch 日志通知。
**要解决 DroppedNotifications 错误**
1. 在 Storage Gateway 控制台的**监控**选项卡上查看您的网关的 `Root Disk Usage` 指标,以便确定可用的根磁盘空间是否不足。
1. 如果可用空间小于 1 GB,请增加网关根存储磁盘的大小。有关说明,请参阅您的虚拟机监控程序的文档。
要增加 Amazon EC2 网关的根磁盘大小,请参阅《Amazon Elastic Compute Cloud 用户指南》**中的[请求对您的 EBS 卷进行修改](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requesting-ebs-volume-modifications.html)。
**注意**
无法增加 AWS Storage Gateway 硬件设备的根磁盘大小。
1. 重新启动您的网关。
## 通知: HardReboot
当网关 VM 意外重启时,您会收到 `HardReboot` 通知。此类重启可能是因断电、硬件故障或其他事件导致的。对于 VMware 网关,vSphere 高可用性应用程序监控的重置可能会导致此事件。
当您的网关在这样的环境中运行时,请检查`HealthCheckFailure`通知是否存在,并查阅虚拟机 VMware 的事件日志。
## 通知:重启
在重新启动网关 VM 时,您会收到重启通知。您可以使用 VM 管理程序管理控制台或 Storage Gateway 控制台重新启动网关 VM。您也可以在网关维护周期内使用网关软件来重新启动。
如果重启时间在网关的已配置[维护开始时间](MaintenanceManagingUpdate-common.md)的 10 分钟内,则此重启可能是正常的,并不指示任何问题。如果重启发生在维护时段之外,请检查是否已手动重新启动网关。
## 故障排除:Active Directory 域问题
FSx 文件网关不会为 Active Directory 域问题生成特定的日志消息。如果在将网关加入 Active Directory 域时遇到问题,请执行以下操作:
+ 确认网关没有尝试使用只读域控制器(RODC)来加入域。
+ 确认网关配置为使用正确的 DNS 服务器。
例如,如果您正在尝试将 Amazon EC2 网关实例加入 AWS托管的 Active Directory,请验证为您的 EC2 VPC 设置的 DHCP 选项是否指定了 AWS托管的 Active Directory DNS 服务器。
您通过 VPC DHCP 选项集配置的 DNS 服务器将提供给 VPC 中的所有 EC2 实例。如果要为单个网关指定 DNS 服务器,则可以使用该网关的 EC2 本地控制台来指定。
对于本地网关,使用虚拟机本地控制台来指定 DNS 服务器。
+ 通过在网关本地控制台的命令提示符下运行以下命令来验证网关网络连接。将突出显示的变量替换为您的部署中的实际域名和 IP 地址。
```
dig -d ExampleDomainName
ncport -d ExampleDomainControllerIPAddress -p 445
ncport -d ExampleDomainControllerIPAddress -p 389
```
+ 确认您的 Active Directory 服务账户具有必要的权限。有关更多信息,请参阅 [Active Directory 服务账户权限要求](https://docs.aws.amazon.com/filegateway/latest/filefsxw/ad-serviceaccount-permissions.html)。
+ 确认网关加入了正确的组织单元(OU)。
加入域会在默认计算机容器(不是 OU)中创建一个 Active Directory 计算机账户,并使用网关的**网关 ID** 作为账户名(例如,SGW-1234ADE)。此账户的名称无法自定义。
如果您的 Active Directory 环境为新的计算机对象指定了 OU,则在加入域时必须指定该 OU。
如果您在尝试加入指定的 OU 时遇到访问被拒绝错误,请咨询您的 Active Directory 域管理员。管理员可能需要预先设置网关的计算机账户,然后才能加入域。有关更多信息,请参阅[如何排查将 Storage Gateway 文件网关加入到用于 Microsoft Active Directory 身份验证的域时遇到的问题?](https://aws.amazon.com/premiumsupport/knowledge-center/storage-gateway-domain-join-error/)。
+ 从网关本地控制台的命令提示符下运行以下命令,确认可以在 DNS 中解析网关的主机名。将突出显示的变量替换为您的网关的实际主机名。
```
dig -d ExampleHostName -r A
```
如果您为网关配置了自定义主机名,则必须手动添加指向其 IP 地址的 DNS A 记录。
+ 确认网关和域控制器之间的网络延迟处于合理较低的水平。如果网关在 20 秒内没有收到来自域控制器的响应,则加入域的查询会超时。
如果您使用 [JoinDomain](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_JoinDomain.html)CLI 命令将网关加入域,则可以添加该`--timeout-in-seconds`标志将超时时间延长到最长 3,600 秒。
+ 确认您用于将网关加入域的 Active Directory 用户具有加入域所需的权限。
## 疑难解答:使用 CloudWatch 指标
您可以在下面找到有关使用亚马逊 CloudWatch指标和 Storage Gateway 来解决问题的操作的信息。
**Topics**
+ [浏览目录时,您的网关反应缓慢](#slow-gateway)
+ [您的网关未响应](#gateway-not-responding)
+ [您在 Amazon 文件系统中看不到 FSx 文件](#files-missing-fsx)
+ [您在 Amazon FSx 文件系统中看不到较旧的快照](#snapshots-missing-fsx)
+ [您的网关向 Amazon 传输数据速度很慢 FSx](#slow-data-transfer-to-fsx)
+ [您的网关备份作业失败,或在对网关进行写入时出现错误](#backup-job-fails)
### 浏览目录时,您的网关反应缓慢
如果您的 File Gateway 在运行**ls**命令或浏览目录时反应缓慢,请检查`IndexFetch`和`IndexEviction` CloudWatch 指标:
+ 如果您在运行`ls`命令或浏览目录时该`IndexFetch`指标大于 0,则您的文件网关启动时没有有关受影响目录内容的信息,因此必须访问FSx 适用于 Windows 文件服务器的 。后续列出该目录内容的工作应更快地进行。
+ 如果 `IndexEviction` 指标大于 0,则表示文件网关已达到当时可在其缓存中管理的内容的最大值。在此情况下,文件网关必须从最近访问最少的目录中释放一些存储空间以便列出新目录。如果这种情况经常发生并且会影响性能,请与联系 支持。
与相 支持 关 Amazon FSx 文件系统的内容进行讨论,并根据您的用例提出提高性能的建议。
### 您的网关未响应
如果您的文件网关未响应,请执行以下操作:
+ 如果存在最近重启或软件更新,请检查 `IOWaitPercent` 指标。此指标显示磁盘 I/O 请求未完成时 CPU 处于空闲状态的时间百分比。在某些情况下,此值可能会很高(10 或更高),并且可能会在服务器重启或更新后增大。在这些情况下,文件网关在将索引缓存重新构建到 RAM 时,可能会因根磁盘速度过慢而出现性能瓶颈。您可以通过为根磁盘使用更快的物理磁盘来解决此问题。
+ 如果 `MemUsedBytes` 指标与 `MemTotalBytes` 指标相同或几乎相同,则文件网关将耗尽可用 RAM。确保您的文件网关至少具有所需的最小 RAM。如果您的文件网关已达到此要求,则可考虑根据工作负载和使用案例向网关添加更多 RAM。
如果文件共享是 SMB,则问题可能也是因连接到文件共享的 SMB 客户端的数量导致的。要查看在任何给定时间连接的客户端数量,请检查 `SMBV(1/2/3)Sessions` 指标。如果连接了多个客户端,您可能需要向文件网关添加更多 RAM。
### 您在 Amazon 文件系统中看不到 FSx 文件
如果您发现网关上的文件未反映在 Amazon FSx 文件系统中,请检查该`FilesFailingUpload`指标。如果该指标报告某些文件上传失败,请查看运行状况通知。文件上传失败时,网关会生成运行状况通知,其中包含有关该问题的更多详细信息。
### 您在 Amazon FSx 文件系统中看不到较旧的快照
文件网关上的某些 FSx 文件操作(例如顶级文件夹重命名或权限更改)可能会导致多个文件操作,从而导致您 FSx 的 Windows 文件服务器文件系统 I/O 负载过高。如果您的文件系统没有足够的性能资源来处理您的工作负载,则文件系统可能会删除[卷影副本](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/shadow-copies-fsxW.html),因为它优先考虑持续的可用性 I/O 而不是历史卷影副本的保留。
在 Amazon FSx 控制台中,查看**监控和性能**页面,查看您的文件系统是否配置不足。如果是,您可以切换到 SSD 存储、增加吞吐能力或增加 SSD IOPS 来处理您的工作负载。
### 您的网关向 Amazon 传输数据速度很慢 FSx
如果您的文件网关向 Amazon FSx for Windows 文件服务器传输数据速度很慢,请执行以下操作:
+ 如果`CachePercentDirty`指标等于 80 或更高,则您的文件网关向磁盘写入数据的速度快于将数据上传到 Amazon for Windows 文件服务器 FSx 的速度。可以考虑增加从文件网关上传的带宽、添加一个或多个缓存磁盘、减慢客户端写入速度,或者增加关联的 Amazon for Windows 文件服务器 FSx 的吞吐容量。
+ 如果 `CachePercentDirty` 指标较低,请检查 `IoWaitPercent` 指标。如果 `IoWaitPercent` 大于 10,您的文件网关可能会受到本地缓存磁盘速度的限制。我们建议使用本地固态硬盘 (SSD) 磁盘作为缓存,最好是 NVM Express (NVMe)。如果此类磁盘不可用,请尝试使用来自单独物理磁盘的多个缓存磁盘来提高性能。
### 您的网关备份作业失败,或在对网关进行写入时出现错误
如果文件网关备份作业失败,或在对文件网关进行写入时出现错误,请执行以下操作:
+ 如果 `CachePercentDirty` 指标为 90% 或更高,则因为缓存磁盘上的可用空间不足,文件网关无法接受对磁盘的新写入操作。要查看您的文件网关上传到 for Windows 文件服务器FSx 的速度有多快,请查看该`CloudBytesUploaded`指标。将该指标与 `WriteBytes` 指标进行比较,这将显示客户端将文件写入文件网关的速度。如果 SMB 客户端写入您的文件网关的速度超过了上传 FSx for Windows 文件服务器的速度,请添加更多的缓存磁盘以至少满足备份任务的大小。或者,增加上传带宽。
+ 如果大文件复制(例如,备份作业)失败,但 `CachePercentDirty` 指标低于 80%,则您的文件网关可能会达到客户端会话超时。对于 SMB,您可以使用 PowerShell 命令`Set-SmbClientConfiguration -SessionTimeout 300`延长此超时时间。运行此命令会将超时设置为 300 秒。
## 高可用性运行状况通知
在 VMware vSphere 高可用性 (HA) 平台上运行网关时,您可能会收到运行状况通知。有关运行状况通知的更多信息,请参阅[故障排除:高可用性问题](troubleshooting-ha-issues.md)。
# 故障排除:高可用性问题
如果您遇到可用性问题,则可在下面查找有关要采取的操作的信息。
**Topics**
+ [运行状况通知](#ha-health-notifications)
+ [指标](#ha-health-notification-metrics)
## 运行状况通知
当您在 VMware vSphere HA 上运行网关时,所有网关都会向您配置的 Amazon CloudWatch 日志组生成以下运行状况通知。这些通知将转至名为 `AvailabilityMonitor` 的日志流中。
**Topics**
+ [通知:重启](#troubleshoot-reboot-notification)
+ [通知: HardReboot](#troubleshoot-hardreboot-notification)
+ [通知: HealthCheckFailure](#troubleshoot-healthcheckfailure-notification)
+ [通知: AvailabilityMonitorTest](#troubleshoot-availabilitymonitortest-notification)
### 通知:重启
在重新启动网关 VM 时,您会收到重启通知。您可以使用 VM 管理程序管理控制台或 Storage Gateway 控制台重新启动网关 VM。您也可以在网关维护周期内使用网关软件来重新启动。
**措施**
如果重启时间在网关的已配置[维护开始时间](MaintenanceManagingUpdate-common.md)的 10 分钟内,则此情况可能是正常的,并不指示任何问题。如果重启发生在维护时段之外,请检查是否已手动重新启动网关。
### 通知: HardReboot
当网关 VM 意外重启时,您会收到 `HardReboot` 通知。此类重启可能是因断电、硬件故障或其他事件导致的。对于 VMware 网关,vSphere 高可用性应用程序监控的重置可能会导致此事件。
**措施**
当您的网关在这样的环境中运行时,请检查`HealthCheckFailure`通知是否存在,并查阅虚拟机 VMware 的事件日志。
### 通知: HealthCheckFailure
对于 VMware vSphere HA 上的网关,当运行状况检查失败并请求重启虚拟机时,您可以收到`HealthCheckFailure`通知。此事件也会在测试期间发生来监控可用性(由 `AvailabilityMonitorTest` 通知指示)。在此情况下,应会有 `HealthCheckFailure` 通知。
**注意**
此通知仅适用于 VMware 网关。
**措施**
如果此事件重复发生,但没有 `AvailabilityMonitorTest` 通知,请检查您的 VM 基础设施是否存在问题(存储、内存等)。如果您需要其他帮助,请联系 支持。
### 通知: AvailabilityMonitorTest
对于 VMware vSphere HA 上的网关,当您在中[运行[可用性和应用程序监控](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_StartAvailabilityMonitorTest.html)系统测试](vmware-ha.md#vmware-ha-test-failover)时,您会`AvailabilityMonitorTest`收到通知。 VMware
## 指标
`AvailabilityNotifications` 指标适用于所有网关。此指标是网关生成的与可用性相关的运行状况通知数。使用 `Sum` 统计数据可观察网关是否遇到了任何与可用性相关的事件。有关事件的详细信息,请咨询您配置的 CloudWatch 日志组。